Выбор инцидента и нажатие кнопки Показать произведет перевод на новую вкладку (название вкладки формируется из индекса и заданного имени инцидента), где будет отображена подробная информация о выбранном инциденте. На данной вкладке также можно редактировать (кнопка Редактировать) и комментировать (кнопка Комментировать) инцидент, изменять ответственного за инцидент (кнопка Назначить), и статус рабочего процесса (кнопка Рабочий процесс). Помимо информации об инциденте, отображённой во вкладке Журнал инцидентов (подробнее читайте в разделе Журнал инцидентов), можно увидеть следующую информацию.
В разделе Срабатывания отражена информация о срабатываниях правил аналитики, добавленных в инцидент. Подробнее читайте в разделе Срабатывания. Добавить срабатывания в инцидент можно нажатием кнопки Добавить срабатывания. Далее необходимо выбрать срабатывания, которые необходимо добавить в инцидент. Чтобы просмотреть подробности срабатывания выделите нужное срабатывание правила аналитики и нажмите кнопку Показать подробно. Также можно просмотреть краткую информацию о срабатывании нажав на кнопку Показать. Нажатием на кнопку Удалить из инцидента можно удалить запись о срабатывании правила аналитики из инцидента. Список срабатываний правил аналитики, добавленный в инциденты, можно скачать в csv-файл для дальнейшего анализа нажатием кнопки Экспортировать в CSV.
В разделе Журналы отображена подробная информация о событиях всех журналов (подробнее о записях журналов читайте в разделе Поиск). Чтобы добавить события в инцидент нажмите Добавить в инцидент и выберите события для добавления. Нажатие кнопки Удалить из инцидента позволяет удалить ненужные события.
В разделе Улики отображены записи о наблюдениях за объектами, указанными при настройке. Улики необходимы для упрощения анализа инцидента информационной безопасности, принятия верного решения и уменьшения затраченного на инцидент времени. Для получения информации используются ресурсы для обогащения (подробнее читайте в разделе Внешние сервисы обогащений). Подробную информацию, предоставленную сервисом, можно увидеть в настройках обогащения, нажав на обогащение.
Улики можно создать нажатием кнопки Добавить. Далее необходимо указать параметры, которые будут отражены в таблице раздела.
Наименование |
Описание |
---|---|
Тип улики |
Возможен выбор одного из следующих типов улик:
|
Значение |
Необходимо указать объект, с которым будет производиться работа: IP-адрес, домен, и т.п. |
Тип атаки |
Для указания доступны следующие типы атаки:
|
TLP |
Отображена маркировка конфиденциальной информации (Traffic Light Protocol). Возможны следующие маркировки:
|
Индикатор компроментации? |
Чекбокс необходимо отметить, если объект является потенциальным индикатором компроментации. |
Сервисы |
Отображён список сервисов, которые используются для получения дополнительной информации об объектах наблюдения. Список сервисов отображается автоматически после выбора типа улики. Список сервисов доступен в разделе Настройки --> Библиотеки --> Внешние сервисы обогащений. Подробнее читайте в разделе Внешние сервисы обогащений. |
Обновлено |
Показаны дата и время последнего обновления сервиса. |
С использованием соответствующих кнопок Редактировать и Удалить улики можно редактировать или удалять.
В разделе Активность можно просмотреть комментарии по инциденту и историю внесения изменений (добавление наблюдателей, изменение статуса рабочего процесса и т.д.).
С использованием кнопки Создать отчёт можно создать отчёт об инциденте:
-
Incident report: пользовательский отчёт, который может быть создан на английском или русском языках в формате PDF или HTML. При создании отчёта возможно использование шаблонов, список которых доступен в разделе Журналы и отчёты --> Отчёты инцидентов --> Правила отчётов инцидентов.
-
GOSSOPKA report: для создание отчёта используется шаблон Форма для ГОССОПКА, который соответствует требованиям к отчётам ГОССОПКА. Отчёт можно просто скачать (кнопка Создать файл) или сразу сформировать в требуемом формате и отправить в систему личных кабинетов ГОССОПКА (кнопка Послать через сеть). Для автоматической отправки отчёта пользователю необходимо предоставить учётную запись для входа в личный кабинет на сайте ГОССОПКА и защищённый канал передачи. Подробнее читайте в разделе Передача отчётов об инцидентах информационной безопасности в ГосСОПКА